Il Red Team Research di TIM, scopre un XSS stored su Fortinet (FortiOS e FortiProxy)

Redazione RHC : 16 Settembre 2022 08:00

Durante una analisi di sicurezza effettuata su alcuni prodotti della casa produttrice Fortinet, il laboratorio Red Team Research di TIM, ha rilevato un tipo di vulnerabilità chiamata Cross Site Scripting Stored sulle versioni di FortiOS 6.4.0-7.2.0 e FortiProxy 2.0.0-7.0.4.

Cross Site Scripting Stored, come funziona questa vulnerabilità?

Gli attacchi XSS si verificano quando un utente malintenzionato utilizza un’applicazione web per iniettare codice dannoso, generalmente sotto forma di script lato browser (javascript, HTML ecc.) verso un utente finale.

Le falle che consentono il successo di questi attacchi sono piuttosto diffuse e si verificano ovunque un’applicazione web utilizzi l’input di un utente che genera un output ma senza convalidarlo o codificarlo. Nello specifico per “Stored” si intende uno script che viene memorizzato in modo permanete dalla Web application.

Su che tipo  di prodotto è stato trovato?

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il prodotto esposto a questo tipo di vulnerabilità è un Security Gateway, che spesso viene usato per la cifratura di flussi di comunicazione o come WAF (web application firewall) e firewall infrastrutturale.

La funzionalità affetta da questo problema è una componente utilizzata come “Threat Feed” nello specifico “IP Address”:

Utilizzando uno specifico procedimento è possibile iniettare nel Feed del codice javascript malevolo.

Siccome FortiOS non è in grado di sanitizzare correttamente l’input che, rimanendo memorizzato sul server, verrà richiamato ogni volta che l’utente visita la pagina:

Che tipo di impatto ha questo attacco?

Gli impatti degli attacchi XSS Stored sono molteplici comportano il furto della sessione dell’utente, esecuzione di codice javascript arbitrario può permettere di miniare criptovalute inconsapevolmente dal computer dell’utente che visita la pagina.

CVE: https://nvd.nist.gov/vuln/detail/CVE-2021-43080
Sito della pubblicazione: https://www.gruppotim.it/it/footer/red-team.html
Vendor Advisor and credits: https://www.fortiguard.com/psirt/FG-IR-21-222

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca industriali in ambito di bug di sicurezza, dove da diverso tempo vengono effettuate attività di “bug hunting” che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso dei due anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti molto diffusi di big vendor di valenza internazionale, come ad esempio Oracle, IBM, Ericsson, Nokia, Computer Associates, Siemens, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso di due anni sono stati emessi oltre 90 CVE, dei quali 5 con severity Critical (9,8 di score CVSSv3), 30 con severity High.

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE ogni 6 giorni lavorativi di media, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale, che si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli